2024FIC晋级赛-服务器部分

WriteUp 3周前 admin
103 0 0

案情简介

2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。

在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。

接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。

容器密码:2024Fic@杭州Powered~by~HL!

服务器部分

1. esxi服务器的esxi版本为?

6.7.0

火眼仿真直接看

2024FIC晋级赛-服务器部分

2. 请分析ESXi服务器,该系统的安装日期为:    

2024-3-12

火眼开启虚拟化仿真,启动时默认的ip为192.168.8.112/静态

2024FIC晋级赛-服务器部分

调整虚拟机模式为NAT,调整vmnet8子网ip    

2024FIC晋级赛-服务器部分

直接访问,以root加空密码登录,在主机界面-系统信息查看

2024FIC晋级赛-服务器部分

3. 请分析ESXi服务器数据存储“datastore”的UUID是?

10 分    

65efb8a8-ddd817f6-04ff-000c297bd0e6

在存储-datastore1- VMFS 详细信息查看

2024FIC晋级赛-服务器部分

4. ESXI服务器的原IP地址?

https://192.168.8.112/    

2024FIC晋级赛-服务器部分

或pc历史记录2024FIC晋级赛-服务器部分

5. EXSI服务器中共创建了几个虚拟机?    

4

VMware ESXi管理页面虚拟机界面查看

2024FIC晋级赛-服务器部分

6. 网站服务器绑定的IP地址为?

192.168.8.89

看命名规则www应该为网站服务器,在pc-finalshell 可以查看到www连接记录,但没有root密码    

2024FIC晋级赛-服务器部分

yakit启动

扫描网段下存活的主机,ssh端口为22

2024FIC晋级赛-服务器部分

利用pc里的字典进行爆破    

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

测试登录查看网卡配置,与上述ip一致    

2024FIC晋级赛-服务器部分

7. 网站服务器的登录密码为?

qqqqqq

同上

8. 网站服务器所使用的管理面板登陆入口地址对应的端口号为:

14131

有宝塔,直接bt 14 命令

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

9. 网站服务器的web目录是?

/webapp

nginx配置    

2024FIC晋级赛-服务器部分

10. 网站配置中Redis的连接超时时间为多少秒

10

看jar包ruoyi-adminBOOT-INFclassesapplication.yml

2024FIC晋级赛-服务器部分

11. 网站普通用户密码中使用的盐值为

反编译查看    

!@#qaaxcfvghhjllj788+)_)((

2024FIC晋级赛-服务器部分

12. 网站管理员用户密码的加密算法名称是什么

BCrypt

com.ruoyi.common.utils.SecurityUtils

2024FIC晋级赛-服务器部分

13. 网站超级管理员用户账号创建的时间是?

2022-05-09 14:44:41

data主机启动后扫描ssh端口为22,还是使用字典爆破

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

密码为hl@7001    

2024FIC晋级赛-服务器部分

mysql在docker下

systemctl start docker

启动docker

docker ps -a

docker start 9b

ss -anpt 查看数据库端口

2024FIC晋级赛-服务器部分

使用宝塔数据库的账号密码测试登录    

2024FIC晋级赛-服务器部分

sys_user表

2024FIC晋级赛-服务器部分

14. 重构进入网站之后,用户管理下的用户列表页面默认有多少页数据

877

根据运维笔记修改配置    

2024FIC晋级赛-服务器部分

修改BOOT-INF/classes/application-druid.yml

2024FIC晋级赛-服务器部分

修改BOOT-INF/classes/application.yml    

2024FIC晋级赛-服务器部分

Sys_job表修改cron_expression

2024FIC晋级赛-服务器部分

sys_config 表检查 login_ip_limit 值。2024FIC晋级赛-服务器部分    

sh start.sh start            

重启网站

在线生成一个密码替换sys_user admin的密码,进行登录

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

15. 该网站的系统接口文档版本号为

3.8.2

系统工具-系统接口    

2024FIC晋级赛-服务器部分

16. 该网站获取订单列表的接口

/api/shopOrder

2024FIC晋级赛-服务器部分

17. 受害人卢某的用户ID

10044888    

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

18. 受害人卢某一共充值了多少钱

465222    

2024FIC晋级赛-服务器部分

19. 网站设置的单次抽奖价格为多少元

10

2024FIC晋级赛-服务器部分

20. 网站显示的总余额数是

 7354468.56

用户列表-资金统计    

2024FIC晋级赛-服务器部分

21. 网站数据库的root密码

my-secret-pw

docker inspect 9b在env中

2024FIC晋级赛-服务器部分

22. 数据库服务器的操作系统版本是    

CentOS Linux release 7.9.2009 (Core)

cat /etc/system-release

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

23. 数据库服务器的Docker Server版本是

1.13.1

docker info    

2024FIC晋级赛-服务器部分

24. 数据库服务器中数据库容器的完整ID是

9bf1cecec3957a5cd23c24c0915b7d3dd9be5238322ca5646e3d9e708371b765

dcoker inspect 9b

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

25. 数据库服务器中数据库容器使用的镜像ID

66c0e7ca4921e941cbdbda9e92242f07fe37c2bcbbaac4af701b4934dfc41d8a

dcoker inspect 9b

2024FIC晋级赛-服务器部分    

2024FIC晋级赛-服务器部分

26. 数据库服务器中数据库容器创建的北京时间

2024-03-13T12:15:23.02589108Z

2024FIC晋级赛-服务器部分

27. 数据库服务器中数据库容器的ip是

172.17.0.2    

2024FIC晋级赛-服务器部分

28. 分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是

182.33.2.250

SELECT inviter_id,COUNT(*) AS total_invited FROM app_group_member WHERE inviter_id IS NOT NULL GROUP BY inviter_id ORDER BY  total_invited DESC;

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

29. 分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是

43.139.0.193    

SELECT
 user_id,
 SUM(money) AS total_money
FROM
 app_user_record
WHERE
 object_type = 2 AND money > 0 -- 假设income为正数
GROUP BY
 user_id
ORDER BY
 total_money DESC;    

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

30. 数据库中记录的提现成功的金额总记是多少(不考虑手续费)

35821148.48    

2024FIC晋级赛-服务器部分

SELECT
 SUM(amount) AS total_successful_withdrawn_amount
FROM
 app_user_withdraw
WHERE
 status = 3;    

2024FIC晋级赛-服务器部分

31. rocketchat服务器中,有几个真实用户?

3

2024FIC晋级赛-服务器部分    

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

32. rocketchat服务器中,聊天服务的端口号是?

3000

同上

33. rocketchat服务器中,聊天服务的管理员的邮箱是?

[email protected]

同上

34. rocketchat服务器中,聊天服务使用的数据库的版本号是?

5.0.24    

2024FIC晋级赛-服务器部分

重置密码:https://blog.csdn.net/the_liang/article/details/129972481

ssh连接一直弹密码,看下ssh配置 /etc/ssh/sshd_config

2024FIC晋级赛-服务器部分

把permitrootlogin打开

2024FIC晋级赛-服务器部分

有docker

2024FIC晋级赛-服务器部分

docker ps -a

docker inspect 92

2024FIC晋级赛-服务器部分

35. rocketchat服务器中,最大的文件上传大小是?(以字节为单位)

104857600

2024FIC晋级赛-服务器部分

36. rocketchat服务器中,管理员账号的创建时间为?

2024-03-14 08:19:54.951    

March 14, 2024

2024FIC晋级赛-服务器部分

docker inspect 92

走ssh连接数据库    

2024FIC晋级赛-服务器部分

2024FIC晋级赛-服务器部分

37. rocketchat服务器中,技术员提供的涉诈网站地址是?   

http://172.16.80.47

2024FIC晋级赛-服务器部分

38. 综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少

35%

2024FIC晋级赛-服务器部分

39. 综合分析服务器,该团队“杀猪盘”收网的可能时间段为

16-17    

2024FIC晋级赛-服务器部分

40. 请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?

[email protected]

2024FIC晋级赛-服务器部分

41. 分析openwrt镜像,该系统的主机名为

iStoreOS

启动openwrt    

2024FIC晋级赛-服务器部分

42. 分析openwrt镜像,该系统的内核版本为

5.10.201

2024FIC晋级赛-服务器部分 

43. 分析openwrt镜像,该静态ip地址为

192.168.8.5

2024FIC晋级赛-服务器部分

44. 分析openwrt镜像,所用网卡的名称为

br-lan

同上    

2024FIC晋级赛-服务器部分

有保存密码

2024FIC晋级赛-服务器部分

45. 分析openwrt镜像,该系统中装的docker的版本号为

20.10.22    

2024FIC晋级赛-服务器部分

46. 分析openwrt镜像,nastools的配置文件路径为

/root/Configs/NasTools

2024FIC晋级赛-服务器部分

47. 分析openwrt镜像,使用的vpn代理软件为

passwall2    

2024FIC晋级赛-服务器部分

48. 分析openwrt镜像,vpn实际有多少个可用节点

54

2024FIC晋级赛-服务器部分

49. 分析openwrt镜像,节点socks的监听端口是多少

1070    

2024FIC晋级赛-服务器部分

50. 分析openwrt镜像,vpn的订阅链接是

https://pqjc.site/api/v1/client/subscribe?token=243d7bf31ca985f8d496ce078333196a


原文始发于微信公众号(数据取证杂谈):2024FIC晋级赛-服务器部分

版权声明:admin 发表于 2024年5月28日 上午12:01。
转载请注明:2024FIC晋级赛-服务器部分 | CTF导航

相关文章